ПАЗИ 1. Место пази в системе кзи
 Скачать 1.38 Mb.
|
28.Анализ рисков КС.Риск можно определить как «сочетание вероятности и последствий наступления неблагоприятных событий». Также риском называют непосредственно предполагаемое событие, способное принести кому-либо ущерб или убыток. Риск информационной безопасности – это возможность того, что данная угроза сможет воспользоваться уязвимостью актива или группы активов и тем самым нанесет ущерб организации. Предполагается, что значимые для бизнеса уязвимые информационные ресурсы компании подвергаются риску, если по отношению к ним существуют какие-либо угрозы. Другими словами, риски характеризуют опасность, которая может угрожать компонентам корпоративной информационной системы. Анализ рисков состоит в том, чтобы выявить существующие риски и оценить их величину (дать им качественную, либо количественную оценку). Оценка рисков может производиться по двум или по трем факторам. В первом случае риск определяется вероятностью реализации угрозы и величиной ущерба . Во втором случае оценка риска связана с тремя факторами: угроза, уязвимость, величина потери. . То есть в данном случае вероятность реализации конкретной угрозы связана с вероятностью использования существующей в системе уязвимости для осуществления данной угрозы. В последнем случае риск информационной безопасности определяется как функция трёх переменных: - Вероятность существования угрозы. - Вероятность существования незащищённости (уязвимости). - Потенциальное воздействие. Если любая из этих переменных приближается к нулю, риск также приближается к нулю. Риски можно оценивать по объективным или субъективным критериям. Примером объективного критерия является вероятность выхода из строя какого-либо оборудования за определенный промежуток времени. Пример субъективного критерия - оценка владельцем информационного ресурса риска выхода из строя оборудования. В методиках анализа рисков, как правило, используются субъективные критерии, измеряемые в качественных единицах, поскольку: 1) Отсутствуют количественные шкалы. 2) Оценка должна отражать субъективную точку зрения владельца информационных ресурсов; 3) Следует учитывать различные аспекты, не только технические, но и организационные, психологические и т.д. После идентификации и оценки рисков разрабатывается некоторая стратегия управления рисками. Например, здесь возможны следующие подходы к управлению информационными рисками компании: Уменьшение рисков. Многие риски удается значительно уменьшить за счет весьма простых и дешевых контрмер. Например, грамотное управление паролями снижает риск несанкционированного доступа. Уклонение от риска. От некоторых классов рисков можно уклониться. Так, вынесение Web-сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локальную сеть со стороны Web-клиентов. Изменение характера риска. Если не удается уклониться от риска или эффективно его уменьшить, можно принять некоторые меры страховки. Например: застраховать оборудование от пожара; заключить договор с поставщиками СВТ о сопровождении и компенсации ущерба, вызванного нештатными ситуациями. Принятие риска. Многие риски нельзя довести до пренебрежимо малой величины. На практике после принятия стандартного набора контрмер некоторые риски уменьшаются, но остаются все еще значимыми. Необходимо знать остаточную величину риска 29.Способы уменьшения рисков КС.Риск информационной безопасности – это возможность того, что данная угроза сможет воспользоваться уязвимостью актива или группы активов и тем самым нанесет ущерб организации.    30.Алгоритм устранения угрозы КС.Угроза безопасности информации в компьютерной системе (КС) понимают событие или действие, которое может вызвать изменение функционирования КС, связанное с нарушением защищенности обрабатываемой в ней информации. После определения актуальных угроз для информационной системы эти угрозы, как вы понимаете, необходимо устранить. Устранение угроз осуществляется двумя способами: организационными и техническими. Под устранением угроз организационными методами понимается разработка, и (естественно) соблюдение требований документов, регламентирующих как политику безопасности в организации в целом, так и требования по защите информации, обрабатываемой в конкретной системе. В случае невозможности нейтрализации угроз организационными мерами, должны применятся сертифицированные средства защиты информации. Привести пример угрозы компьютерной системы и мероприятия по его устранению. (Одним из основных источников угроз безопасности информации в КС является использование специальных программ, получивших название “вредительские программы”. В продуктах Dr.Web реализована возможность применять определенные действия к обнаруженным объектам для обезвреживания компьютерных угроз. Пользователь может оставить автоматически применяемые к определенным типам угроз действия, заданные по умолчанию, изменить их или выбирать нужное действия для каждого обнаруженного объекта отдельно. Ниже приведен список доступных действий: • Лечение – это действие, применимое только к значительным угрозам (вирусам, червям и троянским программам). Оно подразумевает удаление вредоносного кода из инфицированных объектов и, по возможности, восстановление их структуры и работоспособности. Иногда объект состоит только из вредоносного кода и не содержит полезной информации (как, например, троянские программы или функциональные копии компьютерных червей), и в таком случае под лечением понимается удаление самого объекта целиком. Не все зараженные файлы можно вылечить, но алгоритмы лечения постоянно развиваются; • Карантин (перемещать в Карантин) – это действие, при котором обнаруженный объект помещается в специальную папку, изолированную от остальной системы. Данное действие можно применять в случаях, когда лечение невозможно, а также для подозрительных объектов. Подобные объекты рекомендуется посылать на анализ в Вирусную лабораторию компании Dr.Web; • Удаление является наиболее эффективным способом устранения компьютерных угроз любых типов. Применение данного действия подразумевает полное удаление объекта, представляющего угрозу (или его содержимого). При этом удаление может иногда применяться к объектам, для которых выбрано действие Лечение. Подобное «лечение удалением» производится, если файл целиком состоит из вредоносного кода и не содержит никакой полезной информации (например, под лечением компьютерного червя подразумевается удаление всех его функциональных копий); • Переименование – это действие, при котором расширение имени файла изменяется в соответствии с некоторым заданным шаблоном (по умолчанию первый символ расширения заменяется символом «#»); это действие целесообразно применять для файлов других операционных систем (например, MS-DOS® или семейства Microsoft® Windows®), выявленных при эвристическом анализе как подозрительные. Переименование сделает невозможным случайный запуск исполняемых модулей в этих системах, загрузку документов Word или Excel без дальнейшей проверки и таким образом предотвратит заражение возможным вирусом и дальнейшее его распространение; • Игнорирование (Пропускать) – это действие, применимое только к незначительным угрозам (рекламные программы, программы дозвона, программы-шутки, потенциально опасные программы и программы взлома), при котором ни действий для устранения обнаруженной угрозы, ни оповещения пользователя не производится; • Информирование означает, что к объекту не применяется никакое действие, но информация об обнаруженной угрозе все равно отображается в отчетной таблице результатов сканирования. |